Resolv Labs Menghapus 57% Token USR yang Diciptakan Secara Ilegal

Seorang peretas mengeksploitasi kunci pribadi Resolv melalui AWS Key Management Service, mencetak 80 juta token USR tanpa dukungan menggunakan hanya ~$100K dalam USDC.

Pelaku mengonversi USR ke wstUSR, menukarnya ke stablecoin, dan menarik sekitar ~$25M dalam ETH (11.409 ETH) sebelum ada yang bisa bereaksi.

USR jatuh dari $1 ke $0,025 di Curve Finance dalam waktu 17 menit.

Tanggapan Resolv:
→ Membakar sekitar 9 juta USR pada Hari 1
→ Meningkatkan kontrak wstUSR untuk memblacklist dompet pelaku
→ Total 46 juta token (57%) dihapus secara permanen
→ Tidak ada USR ilegal yang tersisa di alamat pelaku sekarang.

Tapi kenyataannya:
→ Pelaku sudah mencairkan sekitar $25M dalam ETH
→ Protocol memegang sekitar $95M aset dibandingkan kewajiban yang lebih tinggi ( secara fungsional bangkrut)
→ Peg USR TIDAK dipulihkan
→ 18 audit gagal menangkap celah tersebut

Akar Penyebab: Tidak ada batas pencetakan, tidak ada pemeriksaan oracle, pencetakan dikendalikan oleh satu kunci pribadi. Tidak ada multisig.

Pelajaran Utama: Audit kontrak pintar saja TIDAK cukup. Keamanan infrastruktur off-chain sama pentingnya untuk protokol DeFi.

Penebusan hanya dibuka untuk pemegang USR sebelum serangan melalui daftar izin. JANGAN memperdagangkan USR selama proses pemulihan.